專利名稱：利用服務(wù)供應(yīng)商鑒權(quán)的增強(qiáng)的安全性的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信網(wǎng)絡(luò)，以及具體來說涉及無線通信網(wǎng)絡(luò)。
現(xiàn)有技術(shù)移動(dòng)信息設(shè)備組(MIDP)以及有限連接設(shè)備配置(CLDC)是用于資源受限制的設(shè)備的Java運(yùn)行環(huán)境，諸如移動(dòng)電話和個(gè)人數(shù)字助理(PDA)。在該運(yùn)行環(huán)境中，CLDC定義了應(yīng)用編程接口的基集以及設(shè)備使用的虛擬機(jī)，且MIDP規(guī)范定義了用于動(dòng)態(tài)且安全地將網(wǎng)絡(luò)應(yīng)用配置到設(shè)備的平臺(tái)。值得注意地，利用MIDP的開發(fā)者可以寫入應(yīng)用程序一次，并隨后將它們配置到多種移動(dòng)通信設(shè)備。上述應(yīng)用程序稱為MIDlets。
MIDlet組是一個(gè)或多個(gè)MIDlets的封裝且由Java Descriptor(JAD)文件、Java Archive(JAR)文件以及描述該JAR文件的清單組成。JAD文件包括應(yīng)用程序軟件所使用的屬性，用于管理MIDlets的壽命周期，以及包括MIDlet組本身將使用的特定應(yīng)用程序的屬性。JAR文件包括MIDlet組的Java類文件。關(guān)于這些類文件的標(biāo)題字段數(shù)據(jù)被包含在該清單中。
MIDP增加了對(duì)于設(shè)備上的數(shù)據(jù)和服務(wù)的訪問，且由此必須在應(yīng)用程序、設(shè)備以及用戶之間建立信任的水平。在MIDP的版本2.0中，利用保護(hù)域來建立信任的水平。保護(hù)域定義了可以被授予MIDlet組的許可的集合，包括在設(shè)備上對(duì)特權(quán)功能進(jìn)行訪問。
根據(jù)X.509公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)安全標(biāo)準(zhǔn)，可以通過恰當(dāng)?shù)睾炇鹪揗IDlet組而將MIDlet組限制到保護(hù)域。簽署步驟包括利用簽名來簽署JAR文件，其中所述簽名是利用簽名者的私有密鑰而創(chuàng)建的。隨后將包括該簽署者的公用密鑰的簽署者證書和該簽名一起添加為JAD文件的屬性。最后，根證書被分配給在其上將執(zhí)行MIDlets的設(shè)備，從而建立了對(duì)于MIDlets的信任基礎(chǔ)，所述的MIDlets是根據(jù)PKI安全標(biāo)準(zhǔn)簽署過的。根證書是未簽署的或自我簽署的X.509公用密鑰證書。根證書通常包括來自其真實(shí)性已被確認(rèn)了的證書管理機(jī)構(gòu)的簽名。
當(dāng)將MIDlet組下載到設(shè)備時(shí)，將對(duì)照存儲(chǔ)在該設(shè)備上的根證書對(duì)該MIDlet組的簽名和簽署者證書進(jìn)行鑒權(quán)。如果該簽名和簽署者證書與關(guān)于特定的保護(hù)域的根證書相匹配，則MIDlet組將被限制到該保護(hù)域和定義在其中的授予許可。如果簽名或簽署者證書與存儲(chǔ)在該設(shè)備上的根證書不相匹配，則向該MIDlet組分配不信任的狀態(tài)。由此，MIDlet組對(duì)該設(shè)備上的特權(quán)功能的訪問將被拒絕。
在所有具有適當(dāng)?shù)母C書的移動(dòng)通信設(shè)備上，簽署了Java應(yīng)用程序的載體都將得到信任。然而，不同的載體時(shí)常使用具有相同根證書的移動(dòng)通信設(shè)備。結(jié)果，Java應(yīng)用程序有時(shí)將會(huì)向Java應(yīng)用程序不希望的設(shè)備提供特權(quán)功能的訪問。重要的是，特定的載體可能不希望它的Java應(yīng)用程序被提供到預(yù)訂了另一載體的設(shè)備。例如，載體通常提供為其訂戶設(shè)計(jì)的游戲，其可以在因特網(wǎng)上下載且可以利用個(gè)人電腦傳送到移動(dòng)通信設(shè)備。載體可能不希望上述游戲?qū)τ陬A(yù)訂了另一載體的設(shè)備也可用。類似地，如果預(yù)訂了第一載體的移動(dòng)通信設(shè)備處于漫游模式中且臨時(shí)使用了第二載體，則那個(gè)載體可以自動(dòng)地對(duì)為了第二載體的訂戶而設(shè)計(jì)的應(yīng)用程序進(jìn)行下載，但是這對(duì)于該設(shè)備來說是無效的。該設(shè)備的用戶可能不希望利用上述應(yīng)用程序綁定到已經(jīng)受到限制的資源。

發(fā)明內(nèi)容
根據(jù)本發(fā)明的實(shí)施例涉及一種通過利用服務(wù)供應(yīng)商鑒權(quán)而提供增強(qiáng)的應(yīng)用程序安全性的方法和裝置。更具體地，當(dāng)應(yīng)用程序被加載到網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，除了對(duì)照存儲(chǔ)在該網(wǎng)絡(luò)節(jié)點(diǎn)上的根證書對(duì)應(yīng)用程序的簽名進(jìn)行鑒權(quán)之外，將與應(yīng)用程序相關(guān)的第一載體標(biāo)識(shí)與第二載體標(biāo)識(shí)進(jìn)行比較。如果第一和第二載體的標(biāo)識(shí)相匹配，則將信任的保護(hù)域和授予的許可分配給該應(yīng)用程序，其中所述信任的保護(hù)域和授予的許可向網(wǎng)絡(luò)節(jié)點(diǎn)提供了特權(quán)訪問。例如，可以將許可授予應(yīng)用程序，從而在網(wǎng)絡(luò)節(jié)點(diǎn)上安裝和/或執(zhí)行。其他應(yīng)用程序的特權(quán)訪問可能會(huì)被拒絕。因此，將僅僅在這樣的網(wǎng)絡(luò)節(jié)點(diǎn)上安裝載體的應(yīng)用程序，其中所述網(wǎng)絡(luò)節(jié)點(diǎn)是該應(yīng)用程序預(yù)期的接收方。
通信網(wǎng)絡(luò)可以是無線通信網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)節(jié)點(diǎn)可以是移動(dòng)通信設(shè)備。如果網(wǎng)絡(luò)節(jié)點(diǎn)符合移動(dòng)信息設(shè)備組(MIDP)，則包括該應(yīng)用程序的MIDlet組可以識(shí)別第一載體標(biāo)識(shí)。例如，可以對(duì)MIDlet組進(jìn)行解析，且可以在解析過的MIDlet組中識(shí)別該載體標(biāo)識(shí)?？梢栽贛IDlet組中包含的Java Archive(JAR)文件和/或Java Descriptor(JAD)文件中的清單中對(duì)第一載體標(biāo)識(shí)進(jìn)行識(shí)別?？梢栽谕ㄐ啪W(wǎng)絡(luò)上接收第二載體標(biāo)識(shí)或可以從網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)的數(shù)據(jù)存儲(chǔ)器中檢索第二載體標(biāo)識(shí)。在一種結(jié)構(gòu)中，數(shù)據(jù)存儲(chǔ)器可以訂戶身份模塊(SIM)卡。


圖1示出了根據(jù)本發(fā)明實(shí)施例的利用服務(wù)供應(yīng)商鑒權(quán)提供增強(qiáng)的應(yīng)用程序安全性的流程圖。
圖2示出了有助于理解本發(fā)明的通信網(wǎng)絡(luò)圖。
具體實(shí)施例方式
根據(jù)本發(fā)明的實(shí)施例涉及一種通過利用服務(wù)供應(yīng)商鑒權(quán)提供增強(qiáng)的應(yīng)用程序安全性的方法和裝置。更具體地，當(dāng)應(yīng)用程序被加載到網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，除了對(duì)照根證書對(duì)應(yīng)用程序的簽名進(jìn)行鑒權(quán)之外，將與應(yīng)用程序相關(guān)的第一載體標(biāo)識(shí)與關(guān)于網(wǎng)絡(luò)節(jié)點(diǎn)的第二載體標(biāo)識(shí)進(jìn)行比較。可以在網(wǎng)絡(luò)節(jié)點(diǎn)上預(yù)存儲(chǔ)第二載體標(biāo)識(shí)，或當(dāng)需要時(shí)向網(wǎng)絡(luò)節(jié)點(diǎn)提供第二載體標(biāo)識(shí)。如果第一和第二載體標(biāo)識(shí)相匹配，則可以在該網(wǎng)絡(luò)節(jié)點(diǎn)上授予該應(yīng)用程序?qū)μ貦?quán)功能的訪問。例如，可以在該網(wǎng)絡(luò)節(jié)點(diǎn)上安裝該應(yīng)用程序。然而，如果第一和第二標(biāo)識(shí)不相匹配，可以拒絕對(duì)于特權(quán)功能的訪問。
圖1示出了流程圖，其有助于理解該方法。如其中示出的，方法100可以包括若干步驟，其始于步驟105，網(wǎng)絡(luò)節(jié)點(diǎn)在通信網(wǎng)絡(luò)上接收應(yīng)用程序。例如，可以在陸線和/或無線通信鏈路上從內(nèi)容供應(yīng)商接處應(yīng)用程序。在網(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)行環(huán)境是移動(dòng)信息設(shè)備組(MIDP)的結(jié)構(gòu)中，該應(yīng)用程序可以是包含在MIDlet組中的MIDlet。本發(fā)明在這方面沒有限制，然而，應(yīng)用程序可以是能夠在通信網(wǎng)絡(luò)上傳送且可以在網(wǎng)絡(luò)節(jié)點(diǎn)上安裝/執(zhí)行的任何類型的應(yīng)用程序。
應(yīng)用程序可以與安全信息相關(guān)聯(lián)，所述安全信息被用于建立應(yīng)用程序的信任水平。如此處所定義的，將應(yīng)用程序與安全信息相關(guān)聯(lián)意味著在可以對(duì)具有安全信息的安全文件進(jìn)行識(shí)別的應(yīng)用程序中提供標(biāo)識(shí)符，在具有識(shí)別應(yīng)用程序的安全信息的文件中提供標(biāo)識(shí)符，或者將安全信息并入到程序本身中。例如，如本領(lǐng)域技術(shù)人員將會(huì)理解的，按照X.509公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)安全標(biāo)準(zhǔn)，簽名和簽署者證書可以被并入到應(yīng)用程序中。然而，本發(fā)明并不僅限于此，本領(lǐng)域技術(shù)人員將理解，還可以實(shí)現(xiàn)其他安全協(xié)議。在步驟110處，可以對(duì)照存儲(chǔ)在網(wǎng)絡(luò)節(jié)點(diǎn)上的根證書對(duì)與應(yīng)用程序相關(guān)的安全信息進(jìn)行鑒權(quán)，從而確定應(yīng)用程序是否被限制在被信任的保護(hù)域中。
參考判定框115和步驟120，如果應(yīng)用程序沒有被限制到信任的保護(hù)域中，則可以拒絕應(yīng)用程序在該網(wǎng)絡(luò)節(jié)點(diǎn)上對(duì)于特權(quán)功能的訪問。例如，可以向應(yīng)用程序分配不信任的保護(hù)域，且據(jù)此對(duì)其進(jìn)行處理。例如，可以在網(wǎng)絡(luò)節(jié)點(diǎn)上提供消息以警告用戶該應(yīng)用程序是沒有得到信任的。隨后，如果希望繼續(xù)進(jìn)行該應(yīng)用程序的安裝和/或執(zhí)行，則可以提示用戶錄入特定的用戶輸入。
如果應(yīng)用程序被限制到信任的保護(hù)域，如步驟125所示，則可以將與應(yīng)用程序相關(guān)的第一載體標(biāo)識(shí)與與網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)的第二載體標(biāo)識(shí)進(jìn)行比較。第一載體標(biāo)識(shí)可以標(biāo)識(shí)這樣的載體，所述載體的用戶是應(yīng)用程序的預(yù)期接收方，以及可以被配置在與應(yīng)用程序一起接收到的文件中。例如，第一載體標(biāo)識(shí)可以被配置在與應(yīng)用程序相關(guān)的根證書中或被嵌入在應(yīng)用程序內(nèi)。第二載體標(biāo)識(shí)可以被存儲(chǔ)在網(wǎng)絡(luò)節(jié)點(diǎn)上，例如存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器中，或者在通信網(wǎng)絡(luò)上從載體傳送到網(wǎng)絡(luò)節(jié)點(diǎn)。
前進(jìn)到判定框130且再次到步驟120，如果第一和第二載體標(biāo)識(shí)不相匹配，則可以拒絕應(yīng)用程序在該網(wǎng)絡(luò)節(jié)點(diǎn)上對(duì)特權(quán)功能的訪問。例如，可以防止在該網(wǎng)絡(luò)節(jié)點(diǎn)上安裝和/或執(zhí)行該應(yīng)用程序，由此確保該應(yīng)用程序?qū)τ诜翘貦?quán)用戶是不可訪問的。然而，如步驟135所示，如果第一和第二載體標(biāo)識(shí)相匹配，則可以在該網(wǎng)絡(luò)節(jié)點(diǎn)上提供應(yīng)用程序?qū)μ貦?quán)功能的訪問。例如，可以在網(wǎng)絡(luò)節(jié)點(diǎn)上安裝和/或執(zhí)行應(yīng)用程序。
圖2示出了在其中可以實(shí)現(xiàn)上述方法的通信網(wǎng)絡(luò)200的實(shí)例。通信網(wǎng)絡(luò)200可以包括陸線和/或無線通信鏈路。例如，通信網(wǎng)絡(luò)200可以是移動(dòng)無線電通信網(wǎng)絡(luò)、蜂窩電話通信網(wǎng)絡(luò)、遙測(cè)系統(tǒng)、廣域網(wǎng)絡(luò)(WAN)、局域網(wǎng)絡(luò)(LAN)、內(nèi)部網(wǎng)絡(luò)、因特網(wǎng)、或者任何其他適當(dāng)?shù)耐ㄐ啪W(wǎng)絡(luò)。
至少一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)210可以通信地鏈接到通信網(wǎng)絡(luò)200。節(jié)點(diǎn)210可以是例如移動(dòng)通信設(shè)備，所述移動(dòng)通信設(shè)備例如是移動(dòng)電話或個(gè)人數(shù)字助理(PDA)、計(jì)算機(jī)設(shè)備、或者能夠在通信網(wǎng)絡(luò)200上接收應(yīng)用程序240的任何其他設(shè)備。
網(wǎng)絡(luò)節(jié)點(diǎn)210可以包括網(wǎng)絡(luò)接口215、處理器220以及第一數(shù)據(jù)存儲(chǔ)器225?？商鎿Q地，網(wǎng)絡(luò)還可以包括第二數(shù)據(jù)存儲(chǔ)器230。網(wǎng)絡(luò)接口215可以是陸線或無線網(wǎng)絡(luò)接口。例如，網(wǎng)絡(luò)接口215可以是調(diào)制解調(diào)器、LAN或WAN接口、或者具有互連和/或發(fā)送能力的電臺(tái)。處理器220可以是中央處理器(CPU)、數(shù)字信號(hào)處理器(DSP)、專用并入電路(ASIC)、或者適用于對(duì)在通信網(wǎng)絡(luò)200上接收到的應(yīng)用程序240進(jìn)行處理的任何其他處理器。
每個(gè)數(shù)據(jù)存儲(chǔ)器225、230可以包括電子存儲(chǔ)媒體，例如是只讀存儲(chǔ)器(ROM)、閃速存儲(chǔ)器或者隨機(jī)存取存儲(chǔ)器(RAM)、磁存儲(chǔ)介質(zhì)(例如硬盤驅(qū)動(dòng)器)、光存儲(chǔ)介質(zhì)、磁光存儲(chǔ)介質(zhì)、或者任何其他適當(dāng)?shù)臄?shù)據(jù)存儲(chǔ)器。例如，第一和/或第二數(shù)據(jù)存儲(chǔ)器可以是訂戶身份模塊(SIM)卡。SIM卡可以識(shí)別操作網(wǎng)絡(luò)節(jié)點(diǎn)210的用戶帳戶、可以處理網(wǎng)絡(luò)節(jié)點(diǎn)的鑒權(quán)、以及可以向數(shù)據(jù)存儲(chǔ)器提供用戶數(shù)據(jù)，所述用戶數(shù)據(jù)例如是電話號(hào)碼和關(guān)于通信網(wǎng)絡(luò)200的信息。SIM卡還可以包括在網(wǎng)絡(luò)節(jié)點(diǎn)210上運(yùn)行的應(yīng)用程序。
根證書235可以存儲(chǔ)在第一數(shù)據(jù)存儲(chǔ)器225中。例如，根證書235可以被嵌入在操作系統(tǒng)中，而所述操作系統(tǒng)存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器225上。如所指出的，根證書可以與保護(hù)域相關(guān)聯(lián)，且當(dāng)節(jié)點(diǎn)210接收到應(yīng)用程序240時(shí)，處理器220可以使用根證書對(duì)與應(yīng)用程序240相關(guān)的安全信息245進(jìn)行鑒權(quán)第一載體標(biāo)識(shí)250可以被添加到如文本文件的應(yīng)用程序240、嵌入在應(yīng)用程序240的程序代碼內(nèi)、并入在安全信息中，或者以其它適當(dāng)?shù)姆绞脚c應(yīng)用程序240相關(guān)聯(lián)。例如，在應(yīng)用程序240被包含在MIDlet組的情形中，第一載體標(biāo)識(shí)250可以被包含在MIDlet組的JavaDescriptor(JAD)文件和/或Java Archive(JAR)文件的清單中。JAD文件和清單都是包括屬性的文本文件。第一載體標(biāo)識(shí)250可以被作為屬性添加到一個(gè)或這兩個(gè)文件，且當(dāng)對(duì)文件進(jìn)行解析時(shí)，網(wǎng)絡(luò)節(jié)點(diǎn)的操作系統(tǒng)可以被配置為對(duì)載體標(biāo)識(shí)250進(jìn)行識(shí)別和處理。
值得注意的是，如果使用了X.509PKI安全標(biāo)準(zhǔn)，則通過簽名保護(hù)了JAR文件的清單內(nèi)定義的屬性，然而JAD文件則沒有。由此，可以期望使用清單以安全地傳送第一載體標(biāo)識(shí)250。然而，由于可以隨后對(duì)清單和JAD文件中的載體標(biāo)識(shí)250的值進(jìn)行比較，因此，在清單和JAD文件中都包含載體標(biāo)識(shí)250可以提供更好的安全水平。上述比較可以檢測(cè)出JAD文件或清單是否已經(jīng)被不擇手段地改變了。
當(dāng)節(jié)點(diǎn)210接收到應(yīng)用程序240時(shí)，處理器220可以將第一載體標(biāo)識(shí)250與第二載體標(biāo)識(shí)255進(jìn)行比較。如所示的，第二載體標(biāo)識(shí)255可以存儲(chǔ)在第二數(shù)據(jù)存儲(chǔ)器230中?？商鎿Q地，第二載體標(biāo)識(shí)255可以存儲(chǔ)在另一數(shù)據(jù)存儲(chǔ)器上，例如第一數(shù)據(jù)存儲(chǔ)器225。
在一種結(jié)構(gòu)中，當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)入服務(wù)時(shí)或在接收第一載體標(biāo)識(shí)250之前的某個(gè)時(shí)間處，可以將存儲(chǔ)第二載體標(biāo)識(shí)255在網(wǎng)絡(luò)節(jié)點(diǎn)210上。在另一結(jié)構(gòu)中，必要時(shí)，處理器220可以將第二載體標(biāo)識(shí)255傳送到網(wǎng)絡(luò)節(jié)點(diǎn)210以執(zhí)行比較。例如，當(dāng)接收到應(yīng)用程序240時(shí)，網(wǎng)絡(luò)節(jié)點(diǎn)210可以請(qǐng)求服務(wù)器經(jīng)由通信網(wǎng)絡(luò)200向網(wǎng)絡(luò)節(jié)點(diǎn)210提供第二載體標(biāo)識(shí)255。根據(jù)通信網(wǎng)絡(luò)200的實(shí)現(xiàn)，可以對(duì)載體標(biāo)識(shí)225進(jìn)行加密。上述加密技術(shù)是本領(lǐng)域技術(shù)人員所公知的。
本發(fā)明可以以硬件、軟件或硬件和軟件的組合來實(shí)現(xiàn)。本發(fā)明可以以在一個(gè)系統(tǒng)中的集中方式實(shí)現(xiàn)、或可以以不同部件散布在若干互連系統(tǒng)之間的分布方式實(shí)現(xiàn)。任何種類的處理設(shè)備或適合于執(zhí)行此處描述的方法的其他裝置都是合適的。硬件和軟件的通常的組合可以是具有應(yīng)用程序的處理設(shè)備，當(dāng)被加載和執(zhí)行時(shí)，所述應(yīng)用程序可以控制該處理設(shè)備以使其執(zhí)行此處描述的方法。
本發(fā)明還可以被嵌入在應(yīng)用程序產(chǎn)品中，該應(yīng)用程序產(chǎn)品包括能夠?qū)崿F(xiàn)此處描述的方法的全部特征，以及當(dāng)被加載到所述處理設(shè)備中時(shí)，該應(yīng)用程序產(chǎn)品可以執(zhí)行這些方法。在目前的背景下的應(yīng)用程序意味著一組命令的任何表達(dá)式、任何語言、代碼或符號(hào)，所述命令組使得具有信息處理能力的系統(tǒng)能夠直接或在以下兩者之后執(zhí)行特定的功能a)轉(zhuǎn)換為另一語言、代碼或符號(hào)；b)以不同的材料形式重現(xiàn)。
在不背離本發(fā)明精神或其本質(zhì)特征的情況下，可以以其他形式實(shí)現(xiàn)本發(fā)明。因此，應(yīng)當(dāng)按照表示本發(fā)明保護(hù)范圍的以下權(quán)利要求書來理解，而不是以上述說明來理解。
權(quán)利要求
1.一種用于在網(wǎng)絡(luò)節(jié)點(diǎn)上提供增強(qiáng)的安全性的方法，包括響應(yīng)于在通信網(wǎng)絡(luò)上接收到應(yīng)用程序，將與所述應(yīng)用程序相關(guān)的第一載體標(biāo)識(shí)與第二載體標(biāo)識(shí)進(jìn)行比較；以及響應(yīng)于在所述第一以及第二載體標(biāo)識(shí)之間識(shí)別匹配，向所述應(yīng)用程序分配許可，其中所述許可在所述網(wǎng)絡(luò)節(jié)點(diǎn)上提供了對(duì)特權(quán)功能的訪問。
2.根據(jù)權(quán)利要求1的方法，進(jìn)一步包括以下步驟確定所述應(yīng)用程序是否被限制到信任的保護(hù)域。
3.根據(jù)權(quán)利要求2的方法，其中所述確定步驟進(jìn)一步包括對(duì)照存儲(chǔ)在所述網(wǎng)絡(luò)節(jié)點(diǎn)上的根證書，對(duì)與應(yīng)用程序相關(guān)的簽名進(jìn)行鑒權(quán)。
4.根據(jù)權(quán)利要求1的方法，其中所述比較步驟包括解析MIDlet組；以及在解析過的MIDlet組中識(shí)別第一載體標(biāo)識(shí)。
5.根據(jù)權(quán)利要求4的方法，其中所述識(shí)別步驟包括在從由JavaArchive(JAR)文件和Java Descriptor(JAD)文件構(gòu)成的組中選出的至少一個(gè)文件中識(shí)別第一載體標(biāo)識(shí)。
6.根據(jù)權(quán)利要求4的方法，其中所述識(shí)別步驟進(jìn)一步包括根據(jù)Java Archive(JAR)文件且根據(jù)Java Descriptor(JAD)文件，識(shí)別第一載體標(biāo)識(shí)。
7.一種用于處理應(yīng)用程序的裝置，包括網(wǎng)絡(luò)接口，用于在通信網(wǎng)絡(luò)上接收所述應(yīng)用程序；處理器，用于將與所述應(yīng)用程序相關(guān)的第一載體標(biāo)識(shí)與第二載體標(biāo)識(shí)進(jìn)行比較，且響應(yīng)于在所述第一和第二載體標(biāo)識(shí)之間識(shí)別匹配，向所述應(yīng)用程序分配許可，所述許可在所述裝置提供了對(duì)特權(quán)功能的訪問。
8.根據(jù)權(quán)利要求7的方法，其中所述處理器進(jìn)一步確定所述應(yīng)用程序是否被限制到信任的保護(hù)域。
9.根據(jù)權(quán)利要求8的方法，其中所述處理器進(jìn)一步對(duì)照存儲(chǔ)在網(wǎng)絡(luò)節(jié)點(diǎn)上的根證書，對(duì)與應(yīng)用程序相關(guān)的簽名進(jìn)行鑒權(quán)。
10.如權(quán)利要求7的裝置，其中所述處理器對(duì)MIDlet組進(jìn)行解析且在解析過的MIDlet組中識(shí)別第一載體標(biāo)識(shí)。
全文摘要
一種用于利用服務(wù)供應(yīng)商鑒權(quán)提供增強(qiáng)的安全性的方法(100)和裝置(210)。除了對(duì)照存儲(chǔ)在網(wǎng)絡(luò)節(jié)點(diǎn)(210)上的根證書(235)對(duì)應(yīng)用程序簽名(245)進(jìn)行鑒權(quán)之外，將與應(yīng)用程序(240)相關(guān)的第一載體標(biāo)識(shí)(250)與第二載體標(biāo)識(shí)(255)相比較。如果第一和第二載體的標(biāo)識(shí)相匹配，則將信任的保護(hù)域和授予的許可分配給該應(yīng)用程序，其中所述信任的保護(hù)域和授予的許可向網(wǎng)絡(luò)節(jié)點(diǎn)提供了特權(quán)訪問。例如，應(yīng)用程序可以被授予許可，以在網(wǎng)絡(luò)節(jié)點(diǎn)上安裝和/或執(zhí)行。在其他情況下，應(yīng)用程序的特權(quán)訪問可能會(huì)被拒絕。因此，將僅僅在網(wǎng)絡(luò)節(jié)點(diǎn)上安裝載體的應(yīng)用程序，所述的網(wǎng)絡(luò)節(jié)點(diǎn)是該應(yīng)用程序預(yù)期的接收方。
文檔編號(hào)H04K1/00GK1993921SQ200580026724
公開日2007年7月4日 申請(qǐng)日期2005年8月5日 優(yōu)先權(quán)日2004年8月6日
發(fā)明者肖冀, 林志翰, 羅納德·R·史密斯, 莊瑞強(qiáng) 申請(qǐng)人:摩托羅拉公司